Google annonce l’amélioration de la protection des données des utilisateurs européens dans Analytics GA4
Google décentralise son infrastructure de collecte de données et livre de nouvelles options de configuration dans Google Analytics 4 pour restreindre à un niveau granulaire la portée des données collectées niveau utilisateur.
Comme nous l’avions évoqué lors de notre précédente communication, cette annonce fait directement écho aux attentes de la CNIL et de la Cour de Justice européenne en matière de protection de la vie privée des résidents UE concernant
- la problématique des transferts de données transatlantiques
- la collecte de données trop fines pouvant donner lieu, par interpolation, à identifier un individu dans les données GA.
Nouveautés appliquées à tous les utilisateurs européens
- L’arrêt du transfert des adresses IP (y compris les adresses IP anonymisées) en dehors de l’UE. Google supprime les adresses IP de GA4 sans les enregistrer. Par conséquent, les adresses IP du trafic de l’UE ne sont pas transférées en dehors de l’UE.
Cette modification s’applique automatiquement à toutes les propriétés GA4.
- La collecte et le traitement initial des données provenant d’utilisateurs situés dans l’UE a lieu dans l’UE avant d’être agrégée avec le reste des données
Les paramètres de contrôle des données dans GA4
Ces nouveaux contrôles de données sont désormais disponibles dans l’interface utilisateur de Google Analytics 4 pour les propriétés Standard et 360 :
- Désactiver la collecte de données Google Signals au niveau du pays*. Les utilisateurs peuvent trouver ce nouveau paramètre sous Admin > Paramètres des données > Collecte des données.
Visible par tous les utilisateurs de la propriété, mais il ne peut être mis à jour que par les éditeurs et les admins de la propriété.
- Désactiver la collecte de données granulaires sur les emplacements et les appareils au niveau du pays*. Les utilisateurs peuvent trouver ce nouveau paramètre sous Admin > Paramètres des données > Collecte des données.
Visible par tous les utilisateurs mais il ne peut être mis à jour que par les éditeurs et les administrateurs du bien.
Concerne notamment des données fines traditionnellement collectées mais souvent dans les faits superflues: la version mineure d’un navigateur, taille de l’écran, etc…
*Veuillez noter que l’activation des nouveaux paramètres de collecte de données aura un impact sur les cas d’utilisation tels que le remarketing et la modélisation de la conversion. Ces paramètres doivent être utilisés avec précaution. Vous pouvez trouver plus d’informations et de détails techniques dans le Centre d’aide de Google.
En conclusion
Ces nouvelles fonctionnalités offriront un contrôle supplémentaire sur l’étendue des données collectées au niveau de l’utilisateur, et peuvent aider à répondre aux préoccupations des autorités de protection des données concernant la relation entre des données personnelles et l’identité des utilisateurs.
Google met à disposition un guide sur la façon d’utiliser l’ensemble des contrôles de confidentialité disponibles aujourd’hui pour permettre aux entreprises de restreindre la collecte de données.
Ces évolutions démontrent l’implication de Google à continuer de faire évoluer Google Analytics pour concilier les exigences de protection des internautes et les besoins des professionnels du marketing.
Elles ne constituent pas pour autant une réponse exhaustive au risque d’embarquer sans le vouloir des données personnelles dans GA (cela reste votre responsabilité dans le design de l’implémentation de mesure comme du design de vos sites). Ni une réponse aux demandes d’agrégation à un niveau très macro qui permettrait d’envisager un jour une exemption de consentement préalable.